網(wǎng)絡安全架構(gòu)設計和網(wǎng)絡安全設備的部署學習課件

網(wǎng)絡安全架構(gòu)設計和網(wǎng)絡安全設備的部署1網(wǎng)絡安全架構(gòu)設計和網(wǎng)絡安全設備的部署1合理分域，準確定級信息系統(tǒng)等級保護以系統(tǒng)所處理信息的最高重要程度來確定安全等級在合理劃分安全域邊界安全可控的情況下，各安全域可根據(jù)信息的最高重要程度單獨定級，實施“分域分級防護”的策略，從而降低系統(tǒng)建設成本和管理風險信息系統(tǒng)安全域之間的邊界應劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應安全可控對于不同等級的安全域間通信，應實施有效的訪問控制策略和機制，控制高密級信息由高等級安全域流向低等級安全域。合理分域，準確定級信息系統(tǒng)等級保護以系統(tǒng)所處理信息的最高面對眾多安全威脅該如何防范？口令暴解竊聽SQL注入跨站腳本惡意代碼誤操作系統(tǒng)漏洞系統(tǒng)故障蠕蟲病毒黑客入侵混合攻擊自然災害跨站腳本網(wǎng)站掛馬弱點掃描木馬DoS攻擊輕則：

系統(tǒng)不穩(wěn)定網(wǎng)絡或業(yè)務訪問緩慢成為攻擊跳板造成信譽影響。。。重則：業(yè)務不可訪問網(wǎng)絡中斷、不可用系統(tǒng)宕機數(shù)據(jù)被竊取、篡改造成經(jīng)濟損失

導致行政處罰或刑事責任。。。后門面對眾多安全威脅該如何防范？口令暴解竊聽SQL注入跨站腳本惡傳統(tǒng)安全防護思想——頭疼醫(yī)頭，腳痛醫(yī)腳安全的組織保障密碼機物理隔離卡基本安全機制LAN/WAN的安全TEMPEST外網(wǎng)互連安全網(wǎng)絡管理防火墻安全應用安全數(shù)據(jù)庫CA認證個人機安全保護安全審計Windows安全UNIX安全操作系統(tǒng)PKI入侵檢測防病毒PMI傳統(tǒng)安全防護思想——頭疼醫(yī)頭，腳痛醫(yī)腳安全的密碼機物理隔離卡信息安全的內(nèi)涵和外延是什么？什么樣的系統(tǒng)是安全的？信息安全保障的目標是什么？信息安全的基本概念機密性完整性可用性不可抵賴性可控性可審計性信息安全的內(nèi)涵和外延是什么？信息安全的基本概念機密性完整性可信息系統(tǒng)等級保護標準GB/T17859系列標準

信息系統(tǒng)等級保護標準GB/T17859系列標準物理安全網(wǎng)絡安全主機安全應用安全數(shù)據(jù)安全身份鑒別（S）安全標記（S）訪問控制（S）可信路徑（S）安全審計（G）剩余信息保護（S）物理位置的選擇（G）物理訪問控制（G）防盜竊和破壞（G）防雷/火/水（G）溫濕度控制（G）電力供應（A）數(shù)據(jù)完整性（S）數(shù)據(jù)保密性（S）備份與恢復（A）防靜電（G）電磁防護（S）入侵防范（G）資源控制（A）惡意代碼防范（G）結(jié)構(gòu)安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（S）入侵防范（G）惡意代碼防范（G）網(wǎng)絡設備防護（G）身份鑒別（S）剩余信息保護（S）安全標記（S）訪問控制（S）可信路徑（S）安全審計（G）通信完整性（S）通信保密性（S）抗抵賴（G）軟件容錯（A）資源控制（A）技術要求物理安全網(wǎng)絡安全主機安全應用安全數(shù)據(jù)安全身份鑒別（S）安全標項目管理安全整改安全巡檢環(huán)境安全風險評估管理體系Management組織體系Organization一體化全局安全管理/監(jiān)控/審計/運維人機界面優(yōu)化加固駐場運維日常維護安全報告應急恢復運行體系Operation技術體系Technology風險監(jiān)控事件管理脆弱管理性能監(jiān)控安全監(jiān)控中心態(tài)勢感知業(yè)務監(jiān)控拓撲監(jiān)控設備監(jiān)控安全審計中心網(wǎng)絡審計業(yè)務審計數(shù)據(jù)審計采集存儲終端審計運維審計合規(guī)審計統(tǒng)計查詢邊界安全傳輸安全環(huán)境安全接入安全入侵檢測漏洞管理準入管理安全保護框架基礎設施邊界安全計算環(huán)境安全支撐設施IT系統(tǒng)工作臺管理巡檢管理工單管理KPI管理組織人員管理資產(chǎn)管理服務商管理應急管理統(tǒng)計查詢響應處置安全運維中心預警監(jiān)測體系基礎防護體系安全策略方針角色職責矩陣安全通報機制安全人員管理教育培訓計劃策略制定發(fā)布安全技術管理安全操作規(guī)范安全設備管理安全環(huán)境管理安全組織架構(gòu)主管部門公安/保密CNCERT測評機構(gòu)集成商服務商開發(fā)商供應商安全決策機構(gòu)安全執(zhí)行機構(gòu)安全響應小組病毒監(jiān)測信息安全體系架構(gòu)項目管理安全整改安全巡檢環(huán)境安全風險評估管理體系組織體系一體IT層次架構(gòu)與安全體系架構(gòu)的結(jié)合IT層次架構(gòu)與安全體系架構(gòu)的結(jié)合實施企業(yè)的安全防護/預警體系安全防護體系預警響應體系一體化安全運營中心訪問控制傳輸加密流量清洗合規(guī)審計接入安全入侵行為深入檢測精確阻斷漏洞發(fā)現(xiàn)預警響應安全監(jiān)控中心安全審計中心安全運維中心實施企業(yè)的安全防護/預警體系安全防護體系預警響應體系一體化安網(wǎng)絡安全防護產(chǎn)品防火墻、防水墻WEB防火墻、網(wǎng)頁防篡改入侵檢測、入侵防御、防病毒統(tǒng)一威脅管理UTM身份鑒別、虛擬專網(wǎng)加解密、文檔加密、數(shù)據(jù)簽名物理隔離網(wǎng)閘、終端安全與上網(wǎng)行為管理內(nèi)網(wǎng)安全、審計與取證、漏洞掃描、補丁分發(fā)安全管理平臺災難備份產(chǎn)品網(wǎng)絡安全防護產(chǎn)品防火墻、防水墻防火墻防火墻內(nèi)部工作子網(wǎng)與外網(wǎng)的訪問控制進行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進日志文件合法請求則允許對外訪問發(fā)起訪問請求防火墻在此處的功能：1、工作子網(wǎng)與外部子網(wǎng)的物理隔離2、訪問控制3、對工作子網(wǎng)做NAT地址轉(zhuǎn)換4、日志記錄

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)內(nèi)部工作子網(wǎng)與外網(wǎng)的訪問控制進行訪問規(guī)則檢查發(fā)起訪問請求合法內(nèi)部子網(wǎng)與DMZ區(qū)的訪問控制進行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進日志文件禁止對工作子網(wǎng)發(fā)起連結(jié)請求發(fā)起訪問請求

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)內(nèi)部子網(wǎng)與DMZ區(qū)的訪問控制進行訪問規(guī)則檢查發(fā)起訪問請求合法DMZ區(qū)域與外網(wǎng)的訪問控制

Internet區(qū)域Internet邊界路由器進行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進日志文件禁止對外發(fā)起連結(jié)請求發(fā)起訪問請求防火墻在此處的功能：1、DMZ網(wǎng)段與外部子網(wǎng)的物理隔離2、訪問控制3、對DMZ子網(wǎng)做MAP映射4、日志記錄DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)DMZ區(qū)域與外網(wǎng)的訪問控制Internet邊界路由器進行訪問防火墻的不足防火墻并非萬能，防火墻不能完成的工作：源于內(nèi)部的攻擊不通過防火墻的連接完全新的攻擊手段不能防病毒防火墻的不足防火墻并非萬能，防火墻不能完成的工作：防火墻的局限性防火墻不能防止通向站點的后門。防火墻一般不提供對內(nèi)部的保護。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻本身的防攻擊能力不夠，容易成為被攻擊的首要目標。防火墻不能根據(jù)網(wǎng)絡被惡意使用和攻擊的情況動態(tài)調(diào)整自己的策略。防火墻的局限性防火墻不能防止通向站點的后門。什么是VPNVPN(VirtualPrivateNetwork)是通過internet公共網(wǎng)絡在局域網(wǎng)絡之間或單點之間安全地傳遞數(shù)據(jù)的技術VPN可以省去專線租用費用或者長距離電話費用，大大降低成本VPN可以充分利用internet公網(wǎng)資源，快速地建立起公司的廣域連接ISPModemsVPNGatewayVPNGateway總部網(wǎng)絡遠程局域網(wǎng)絡總部分支機構(gòu)單個用戶Internet什么是VPNVPN(VirtualPrivateNe傳統(tǒng)VPN聯(lián)網(wǎng)方式公司總部辦事處/SOHO公共網(wǎng)絡VPN通道VPN設備VPN設備VPN設備VPNclient傳統(tǒng)VPN聯(lián)網(wǎng)方式公司總部辦事處/SOHO公共網(wǎng)絡VPN通道VPN解決方案遠程訪問Internet分支機構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)合作伙伴內(nèi)部網(wǎng)VPN解決方案遠程訪問Internet分支機構(gòu)虛擬私有網(wǎng)虛基于PPTP/L2TP的撥號VPN在Internal端網(wǎng)絡定義遠程地址池每個客戶端動態(tài)地在地址池中為VPN會話獲取地址客戶端先得撥號（163/169）得到一個公網(wǎng)地址，然后和公司的防火墻設備利用PPTP/L2TP協(xié)議進行VPN的建立建立VPN的用戶可以訪問公司內(nèi)部網(wǎng)絡的所有資源，就象在內(nèi)部網(wǎng)中一樣客戶端不需要附加軟件的安裝，簡單方便Dial-UpNATPool/24---0

基于PPTP/L2TP的撥號VPN在Internal端網(wǎng)絡SSLVPNSSLVPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術。與復雜的IPSecVPN相比，SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN，這是因為SSL內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件。SSLVPNSSLVPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最入侵檢測系統(tǒng)IDS入侵檢測系統(tǒng)IDS入侵預防系統(tǒng)也像入侵偵查系統(tǒng)一樣，專門深入網(wǎng)路數(shù)據(jù)內(nèi)部，查找它所認識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進行記載，以便事后分析。除此之外，更重要的是，大多數(shù)入侵預防系統(tǒng)同時結(jié)合考慮應用程序或網(wǎng)路傳輸中的異常情況，來輔助識別入侵和攻擊。比如，用戶或用戶程序違反安全條例、數(shù)據(jù)包在不應該出現(xiàn)的時段出現(xiàn)、作業(yè)系統(tǒng)或應用程序弱點的空子正在被利用等等現(xiàn)象。入侵預防系統(tǒng)雖然也考慮已知病毒特征，但是它并不僅僅依賴于已知病毒特征。入侵預防系統(tǒng)也像入侵偵查系統(tǒng)一樣，專門深入網(wǎng)路數(shù)據(jù)內(nèi)部，查找入侵檢測的概念和作用入侵檢測即通過從網(wǎng)絡系統(tǒng)中的若干關鍵節(jié)點收集并分析信息，監(jiān)控網(wǎng)絡中是否有違反安全策略的行為或者是否存在入侵行為。它能夠提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，對內(nèi)部攻擊、外部攻擊和誤操作進行實時監(jiān)控，在網(wǎng)絡安全技術中起到了不可替代的作用。入侵檢測的概念和作用入侵檢測即通過從網(wǎng)絡系統(tǒng)中的若干關鍵節(jié)點入侵檢測系統(tǒng)的作用實時檢測實時地監(jiān)視、分析網(wǎng)絡中所有的數(shù)據(jù)報文發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文安全審計對系統(tǒng)記錄的網(wǎng)絡事件進行統(tǒng)計分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動響應主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理入侵檢測系統(tǒng)的作用實時檢測入侵檢測系統(tǒng)工作原理：實時監(jiān)控網(wǎng)絡數(shù)據(jù)，與已知的攻擊手段進行匹配，從而發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。使用方式：作為防火墻后的第二道防線。入侵檢測系統(tǒng)工作原理：實時監(jiān)控網(wǎng)絡數(shù)據(jù)，與已知的攻擊手段進行入侵檢測系統(tǒng)FirewallInternetServersDMZIDSAgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警報警IDSAgent入侵檢測系統(tǒng)FirewallInternetServer利用RealSecure進行可適應性

攻擊檢測和響應DMZ?E-Mail

?FileTransfer?HTTPIntranet企業(yè)網(wǎng)絡生產(chǎn)部工程部市場部人事部路由Internet中繼外部攻擊警告!記錄攻擊外部攻擊終止連接入侵檢測工具舉例利用RealSecure進行可適應性

攻擊檢測和響應DMZIDMZ?E-Mail

?FileTransfer?HTTPIntranet企業(yè)網(wǎng)絡生產(chǎn)部工程部市場部人事部路由Internet中繼內(nèi)部攻擊警告!啟動事件日志,發(fā)送消息入侵檢測工具舉例DMZIntranet企業(yè)網(wǎng)絡生產(chǎn)部工程部市場部人事部路由IDMZ?E-Mail

?FileTransfer?HTTPIntranet企業(yè)網(wǎng)絡生產(chǎn)部工程部市場部人事部路由Internet中繼外部攻擊商務伙伴警告!記錄進攻,發(fā)送消息,終止連接外部攻擊中止連接重新配置路由或防火墻以便隱藏IP地址入侵檢測工具舉例DMZIntranet企業(yè)網(wǎng)絡生產(chǎn)部工程部市場部人事部路由I入侵檢測基本原理：利用sniffer方式獲取網(wǎng)絡數(shù)據(jù)，根據(jù)已知特征判斷是否存在網(wǎng)絡攻擊優(yōu)點：能及時獲知網(wǎng)絡安全狀況，借助分析發(fā)現(xiàn)安全隱患或攻擊信息，便于及時采取措施。不足：準確性：誤報率和漏報率有效性：難以及時阻斷危險行為入侵檢測基本原理：利用sniffer方式獲取網(wǎng)絡數(shù)據(jù)，根據(jù)已物理隔離裝置物理隔離裝置物理隔離主要分兩種：雙網(wǎng)隔離計算機物理隔離網(wǎng)閘物理隔離主要分兩種：雙網(wǎng)隔離計算機解決每人2臺計算機的問題1臺計算機，可以分時使用內(nèi)網(wǎng)或外網(wǎng)關鍵部件硬盤網(wǎng)線軟盤/USB/MODEM等共享部件顯示器鍵盤/鼠標主板/電源硬盤*原理切換關鍵部件雙網(wǎng)隔離計算機解決每人2臺計算機的問題簡單雙網(wǎng)隔離計算機外網(wǎng)硬盤內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡控制開關簡單雙網(wǎng)隔離計算機外網(wǎng)硬盤內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控復雜雙網(wǎng)隔離計算機內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡遠端設備使用控制卡上的翻譯功能將硬盤分為邏輯上獨立的部分充分使用UTP中的8芯，減少一根網(wǎng)線復雜雙網(wǎng)隔離計算機內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡遠端物理隔離網(wǎng)閘的基本原理采用數(shù)據(jù)“擺渡”的方式實現(xiàn)兩個網(wǎng)絡之間的信息交換在任意時刻，物理隔離設備只能與一個網(wǎng)絡的主機系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)連接，即當它與外部網(wǎng)絡相連接時，它與內(nèi)部網(wǎng)絡的主機是斷開的，反之亦然。任何形式的數(shù)據(jù)包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離設備。物理隔離設備在網(wǎng)絡的第7層講數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”形式傳遞原始數(shù)據(jù)。物理隔離網(wǎng)閘的基本原理采用數(shù)據(jù)“擺渡”的方式實現(xiàn)兩個網(wǎng)絡之間物理隔離實現(xiàn)基本原理物理隔離實現(xiàn)基本原理物理隔離實現(xiàn)基本原理內(nèi)外網(wǎng)模塊連接相應網(wǎng)絡實現(xiàn)數(shù)據(jù)的接收及預處理等操作；交換模塊采用專用的高速隔離電子開關實現(xiàn)與內(nèi)外網(wǎng)模塊的數(shù)據(jù)交換，保證任意時刻內(nèi)外網(wǎng)間沒有鏈路層連接；數(shù)據(jù)只能以專用數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)間通過網(wǎng)閘進行“擺渡”，傳送到網(wǎng)閘另一側(cè)；集成多種安全技術手段，采用強制安全策略，對數(shù)據(jù)內(nèi)容進行安全檢測，保障數(shù)據(jù)安全、可靠的交換。物理隔離實現(xiàn)基本原理內(nèi)外網(wǎng)模塊連接相應網(wǎng)絡實現(xiàn)數(shù)據(jù)的接收及預

對請求數(shù)據(jù)進行合法性檢查，剝離原有協(xié)議成裸數(shù)據(jù)，進行內(nèi)容檢查，然后重組

對收到外網(wǎng)的數(shù)據(jù)進行病毒檢查、解析、過濾和重組等處理隔離網(wǎng)閘的工作流程將重組的數(shù)據(jù)還原為標準通訊協(xié)議，回傳到內(nèi)網(wǎng)

將重組的數(shù)據(jù)還原為標準通訊協(xié)議，向外網(wǎng)發(fā)送專用隔離硬件、專用通訊協(xié)議專用隔離硬件、專用通訊協(xié)議對請求數(shù)據(jù)進行合法性檢查，剝離原有協(xié)議成裸數(shù)據(jù)，進行內(nèi)安全隔離工作示意圖安全隔離系統(tǒng)非信任網(wǎng)絡或Internet信任網(wǎng)絡隔離裝置連接系統(tǒng)連接系統(tǒng)安全隔離工作示意圖安全隔離系統(tǒng)非信任網(wǎng)絡或Internet信物理隔離技術的應用內(nèi)網(wǎng)和外部網(wǎng)之間物理隔離技術的應用內(nèi)網(wǎng)和外部網(wǎng)之間網(wǎng)閘隔離網(wǎng)閘和防火墻區(qū)別

≤1ms防火墻是單主機系統(tǒng)

防火墻采用通用通訊協(xié)議即TCP/IP協(xié)議

防火墻必須保證實時連接防火墻是主動響應網(wǎng)閘采用雙主機系統(tǒng)，內(nèi)端機與需要保護的內(nèi)部網(wǎng)絡連接，外端機與外網(wǎng)連接。這種雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護起來網(wǎng)閘采用自身定義的私有通訊協(xié)議，避免了通用協(xié)議存在的漏洞。

網(wǎng)閘采用專用硬件控制技術保證內(nèi)外網(wǎng)之間沒有實時連接。

網(wǎng)閘對外網(wǎng)的任何響應都保證是內(nèi)網(wǎng)合法用戶發(fā)出的請求應答，即被動響應，而防火墻則不會對外網(wǎng)響應進行判斷，也即主動響應。這樣，網(wǎng)閘就避免了木馬和黑客的攻擊。防火墻44網(wǎng)閘隔離網(wǎng)閘和防火墻區(qū)別≤1ms防火墻是單主機系統(tǒng)物理隔離技術的優(yōu)缺點優(yōu)點：

中斷直接連接

強大的檢查機制

最高的安全性缺點：

對協(xié)議不透明，對每一種協(xié)議都要一種具體的實現(xiàn) 效率低物理隔離技術的優(yōu)缺點優(yōu)點：

防病毒軟件防病毒軟件網(wǎng)絡防病毒基本功能：串接于網(wǎng)絡中，根據(jù)網(wǎng)絡病毒的特征在網(wǎng)絡數(shù)據(jù)中比對，從而發(fā)現(xiàn)并阻斷病毒傳播優(yōu)點：能有效阻斷已知網(wǎng)絡病毒的傳播不足：只能檢查已經(jīng)局部發(fā)作的病毒對網(wǎng)絡有一定影響網(wǎng)絡防病毒基本功能：串接于網(wǎng)絡中，根據(jù)網(wǎng)絡病毒的特征在網(wǎng)絡數(shù)

堡壘機堡壘機堡壘機又被稱為“堡壘主機”，是一個主機系統(tǒng)，其自身通常經(jīng)過了一定的加固，具有較高的安全性，可抵御一定的攻擊，其作用主要是將需要保護的信息系統(tǒng)資源與安全威脅的來源進行隔離，從而在被保護的資源前面形成一個堅固的“堡壘”，并且在抵御威脅的同時又不影響普通用戶對資源的正常訪問。堡壘機又被稱為“堡壘主機”，是一個主機系統(tǒng)，其自身通常經(jīng)過了運維審計型堡壘機運維審計型堡壘機被部署在內(nèi)網(wǎng)中的服務器和網(wǎng)絡設備等核心資源的前面，對運維人員的操作權(quán)限進行控制和操作行為審計；運維審計型堡壘機即解決了運維人員權(quán)限難以控制混亂局面，又可對